Eine internationale Polizeioperation hat das Phishing-as-a-Service-Toolkit Tycoon 2FA zerschlagen, das für über 64.000 Angriffe verantwortlich war und monatlich Millionen von Phishing-E-Mails verschickte.
Ein Bündnis aus Strafverfolgungsbehörden und Sicherheitsunternehmen unter Leitung von Europol hat den Phishing-Dienst Tycoon 2FA erfolgreich zerlegt. Das kriminelle Toolkit zählte zu den größten weltweiten Phishing-Operationen und ermöglichte Cyberkriminellen, Millionen von Opfern mit gezielten Angriffen ins Visier zu nehmen.
Das Geschäftsmodell war simpel, aber effektiv: Für einen monatlichen Preis von 350 Dollar erhielten Abonnenten Zugriff auf ein professionelles Web-Admin-Panel. Der primäre Entwickler, vermutlich Saad Fridi aus Pakistan, hatte damit ein hochprofitables Geschäftsmodell geschaffen. Über Telegram und Signal wurde der Service ab August 2023 vermarktet und schnell zur bevorzugten Waffe von Cyberkriminellen weltweit.
Das Admin-Panel bot Kriminellen beeindruckende Funktionen: vorgefertigte Phishing-Templates, automatisierte Domain-Verwaltung, Redirect-Logik und umfassendes Opfer-Tracking. Besonders tückisch war die Fähigkeit, Multi-Faktor-Authentifizierung (MFA) zu umgehen. Das Toolkit abfangierte Session-Cookies während des Authentifizierungsprozesses und leitete MFA-Codes über eigene Proxy-Server weiter – eine Technik, die selbst Passwortänderungen nutzlos machte, solange die Sessions nicht manuell invalidiert wurden.
Die Dimension des Schadens ist beeindruckend: Microsoft blockierte allein im Oktober 2025 über 13 Millionen bösartige E-Mails des Dienstes. Insgesamt machte Tycoon 2FA etwa 62 Prozent aller von Microsoft gestoppten Phishing-Versuche aus. Intel 471 dokumentierte über 64.000 Phishing-Vorfälle, während Proofpoint im Februar 2026 allein über drei Millionen verdächtige Nachrichten identifizierte. Das Toolkit hatte ungefähr 2.000 zahlende Kunden.
Besonders bemerkenswert ist die Zielgruppe: Tycoon 2FA konzentrierte sich primär auf Unternehmensumgebungen. Mehr als 55.000 Microsoft-Kunden und insgesamt etwa 96.000 Opfer weltweit wurden identifiziert. Monatlich erreichten die Phishing-Kampagnen über 500.000 Organisationen – von Schulen bis zu Krankenhäusern, von Finanzinstituten bis zu Regierungsbehörden.
Die technische Raffinesse war beachtlich. Das Toolkit nutzte Tastatureingabe-Überwachung, Bot-Screening, Browser-Fingerprinting, Code-Obfuskation und selbstgehostete CAPTCHAs. Besonders clever: Die verwendeten Domains existierten nur 24 bis 72 Stunden, was es Sicherheitsanbietern unmöglich machte, zuverlässige Blocklisten zu erstellen. Kriminelle nutzten auch die Technik des “ATO Jumping”: Sie kompromittierten E-Mail-Konten und missbrauchten diese zur Verteilung von Tycoon-URLs, wodurch Phishing-E-Mails authentisch zu stammen schienen.
Die Operation führte zur Abschaltung von 330 Domains und der Infrastruktur dahinter. Laut Selena Larson von Proofpoint erlebten 2025 etwa 99 Prozent aller Organisationen Account-Takeover-Versuche, 67 Prozent davon erfolgreich – selbst wenn MFA aktiviert war. Tycoon 2FA zeigt, wie effektiv AiTM-Phishing (Adversary-in-the-Middle) moderne Sicherheitsmechanismen umgehen kann und damit der erste Schritt zu Ransomware oder Datenverlust wird.
Quelle: The Hacker News